En la era digital actual, el correo electrónico es una herramienta clave para la comunicación empresarial. Sin embargo, el uso inapropiado de esta herramienta puede generar serios problemas relacionados con la privacidad y la protección de datos personales. En particular, el envío de correos electrónicos a multitud de destinatarios sin utilizar la opción de "Copia Oculta" (CCO) puede ser una infracción directa del Reglamento General de Protección de Datos (RGPD), poniendo en riesgo tanto la reputación como la seguridad legal de las empresas.

Así lo ha estimado la Agencia Española de Protección de Datos, que recientemente ha publicado una sanción dirigida a una empresa madrileña de marketing digital por enviar un correo electrónico sin copia oculta a 349 destinatarios, lo que hizo visible las direcciones de correo electrónico a todos los destinatarios.

¿Qué es la opción de copia oculta?

La copia oculta es una herramienta del correo electrónico que permite enviar un email a múltiples destinatarios sin que estos puedan ver las direcciones de correo de todas las demás personas incluidas en el mensaje. De lo contrario, cada destinatario tendría acceso a la dirección de correo de todos los demás, lo que podría derivar en una comunicación ilegítima de datos personales.

Es decir, el uso de la función de CCO es una práctica sencilla que garantiza que los destinatarios del correo electrónico no puedan ver la dirección electrónica de otros receptores, respetando así su privacidad.

La AEPD calculó una sanción de 3000 euros

El procedimiento administrativo fue iniciado por la reclamación ante la Agencia de uno de los destinatarios afectados. Así, la AEPD inició procedimiento sancionador al entender que los hechos podrían ser constitutivos de una infracción del principio de integridad y confidencialidad consagrado en el RGPD.

Finalmente, la AEPD determinó que la empresa demandada no dispuso de las medidas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los sistemas y servicios del tratamiento, al no utilizar la opción de copia oculta y permitir que los correos de 349 interesados fuesen visibles a terceros.

Considerando estos factores, la valoración inicial de la AEPD fue establecer una sanción de 3.000 euros. Sin embargo, tras aplicar las reducciones por pago voluntario y asunción de la responsabilidad, el demandado pagó finalmente de 1.800 euros.

 Mejores prácticas para el envío de correos masivos

Para cumplir con el RGPD y evitar errores comunes en el envío de correos electrónicos, es recomendable seguir algunas prácticas básicas:

1. Uso de la CCO: Siempre que se envíen correos a múltiples destinatarios, es recomendable utilizar la función de copia oculta para proteger la privacidad de los destinatarios.
2. Licitud de la comunicación: Asegurarse de que exista una base legal que legitime la comunicación. En el caso de que sea necesario para el desarrollo de una relación contractual, el interés legítimo de las partes será la base que legitime el tratamiento.
3. Uso de plataformas de email marketing: Para el envío de correos masivos, es ideal utilizar plataformas especializadas en marketing por correo electrónico, que ofrecen herramientas para gestionar suscriptores, automatizar envíos y garantizar el cumplimiento del RGPD.
4. Revisión y auditoría interna: Implementar revisiones periódicas de las prácticas de envío de correos electrónicos dentro de la empresa para garantizar que se cumplen las normativas de protección de datos.

Desde Microlab trabajamos en la implantación de estrategias de protección de datos para empresas de todos los sectores, las cuales estarán adaptadas a sus necesidades y a su modelo de negocio. Para ello, realizamos completas auditorías de protección de datos aplicadas a servicios web, con el objetivo de analizar los factores de riesgo y determinar las estrategias a implantar para garantizar un tratamiento de datos personales dentro de la legalidad.

En la actualidad, las redes sociales se han convertido en una herramienta fundamental para las empresas que buscan promocionar sus productos y servicios. Compartir imágenes de clientes utilizando sus productos o participando en eventos es una forma efectiva de generar confianza en los potenciales clientes, pero también plantea importantes desafíos legales. En este contexto, el Reglamento General de Protección de Datos (RGPD) impone estrictas normas sobre el uso de los datos personales, incluida la imagen, lo que hace que recabar el consentimiento expreso de los clientes sea una obligación clave para las empresas. 

¿Por qué es Necesario el Consentimiento para Publicar Imágenes?

La imagen de una persona es considerada un dato personal en el marco del RGPD, ya que permite identificar a una persona. Esto significa que, antes de compartir imágenes de clientes o empleados en redes sociales, las empresas deben asegurarse de tener una base legal para hacerlo. Esta base legal es el consentimiento explícito del individuo.

El consentimiento debe cumplir con varios requisitos:

• Libre: la persona debe tener la capacidad de dar su consentimiento sin ningún tipo de presión o coerción.
• Específico: el consentimiento debe referirse claramente al propósito concreto para el que se va a utilizar la imagen.
• Informado: los clientes deben ser informados de manera clara y concisa sobre cómo se utilizará su imagen y con qué finalidad.
• Inequívoco: el consentimiento debe ser una acción afirmativa clara, como firmar un formulario o marcar una casilla en una web. El consentimiento implícito, como la inacción o el silencio, no es válido.

Cómo Solicitar el Consentimiento de Forma Correcta

Para cumplir con el RGPD, las empresas deben adoptar un enfoque proactivo para la obtención del consentimiento. Algunas recomendaciones clave son:

1. Formularios de consentimiento específicos: Las empresas deben disponer de formularios claros y detallados en los que los clientes den su autorización para el uso de su imagen en redes sociales. Estos formularios deben incluir información sobre cómo se utilizarán las imágenes, dónde se publicarán y durante cuánto tiempo.
2. Explicación de derechos: Los clientes deben ser informados de su derecho a retirar el consentimiento en cualquier momento. Esto puede implicar la eliminación de las imágenes publicadas.
3. Documentación y almacenamiento del consentimiento: Es fundamental que las empresas mantengan un registro adecuado de los consentimientos otorgados, para poder demostrar que se ha cumplido con las obligaciones del RGPD en caso de reclamaciones.

Ventajas para las empresas

Aunque pueda parecer una carga administrativa adicional, obtener el consentimiento explícito de los clientes para publicar sus imágenes tiene ventajas significativas para las empresas. En primer lugar, garantiza el cumplimiento normativo y protege a la empresa frente a posibles sanciones. Además, mejora la confianza del cliente, ya que demuestra un compromiso con la transparencia y el respeto a la privacidad.

Este proceso no solo es una obligación legal, sino también una oportunidad para fortalecer la relación con los clientes mediante la transparencia y el respeto por su privacidad.

Microlab cuenta con un departamento legal altamente cualificado y con más de 15 años de experiencia en el asesoramiento en materia de protección de datos. Si tu organización está obligada a designar un delegado de protección de datos o decide designarlo de forma voluntaria, puedes contactar con nosotros para recibir información acerca de nuestros servicios.

Cualquier organización que cuente con empleados debe tratar los datos personales de sus trabajadores, tanto en el proceso de selección como durante la relación laboral. Estos tratamientos conllevan algunos riesgos que, si no se revisan correctamente, pueden derivar en cuantiosas sanciones para el empresario.

El desconocimiento de la normativa de protección de datos es una de las principales causas de su incumplimiento, por lo que en este artículo analizaremos las dudas más recurrentes a las que se enfrenta el departamento legal de Microlab.

1. ¿Puedo solicitar el correo electrónico o el teléfono particular a mis trabajadores?

La jurisprudencia establece que el número de teléfono particular de un trabajador y su dirección electrónica no son datos necesarios para el mantenimiento y desarrollo de la relación laboral, por lo que su tratamiento no puede verse amparado en el contrato de trabajo.

No obstante, el trabajador puede aportar esta información de manera voluntaria, siempre y cuando el empleador haya recabado su consentimiento previamente por escrito. Para que este consentimiento sea otorgado libremente, el trabajador no puede sufrir ninguna consecuencia negativa por no prestarlo.

2. ¿Qué preguntas se pueden realizar en una entrevista de trabajo?

La finalidad de una entrevista de trabajo es valorar la candidatura del interesado para una vacante. Así, puede resultar relevante cualquier cuestión relacionada con el trabajo, las aptitudes del candidato para el puesto, su formación o experiencia.

Sin embargo, resulta desproporcionado preguntar a un candidato o candidata cualquier cuestión relacionada con su vida privada o circunstancias personales, como su intención de tener hijos, su estado civil, su religión o su estado de salud. De la misma manera, tampoco es legal solicitar a un candidato un certificado de antecedentes penales, salvo en aquellos supuestos excepcionales en los que la Ley lo requiera.

La minimización es uno de los principios que rige el RGPD, que afirma que los datos recabados deben de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

3. ¿Puedo instalar GPS en los vehículos de empresa?

El Estatuto de los Trabajadores afirma que el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

No obstante, aunque existe una base legal para establecer esta medida de control, se debe respetar el derecho a la privacidad del trabajador informándole previamente de esta medida de control, así como de sus características principales.

4. ¿Qué información se puede comunicar a los representantes de los trabajadores?

Los delegados y el comité de empresa podrán acceder a aquella información que precisen para el desarrollo de las funciones que le son otorgadas por el Estatuto de los Trabajadores y los convenios sectoriales.

Sin embargo, no puede comunicarse toda la información de los trabajadores, por lo que se les podrá entregar la información disociada cuando esto les permita ejercer sus competencias.

5. ¿Puedo usar la imagen de los trabajadores para promocionar el negocio?

En multitud de ocasiones las empresas y organizaciones utilizan las imágenes de los empleados para su publicación en la web y redes sociales corporativas, con el ánimo de promocionar su actividad.

La publicación en internet de la imagen de los trabajadores no se ve amparada en la relación laboral. De esta manera, el trabajador debe autorizar previamente la publicación de su imagen, siendo informado de los términos y alcance de dicha publicación. Para que este consentimiento sea válido, tiene que otorgarse libremente, sin que puedan derivarse consecuencias negativas de su denegación o retirada.

Microlab cuenta con un departamento legal altamente cualificado y con más de 15 años de experiencia en el asesoramiento en materia de protección de datos. Si tu organización está obligada a designar un delegado de protección de datos o decide designarlo de forma voluntaria, puedes contactar con nosotros para recibir información acerca de nuestros servicios.